Irska: 550.000 zaradi biometrične prepoznave obrazov
Nadzorni organ je Ministrstvo za socialno varstvo kaznoval zaradi nezakonite obdelave biometričnih podatkov posameznikov, ki se registrirajo za uporabo storitev SAFE 2
Odločitev je bila objavljena 12. 6. 2025
Nadzorni organ je objavil končno odločitev po zaključku preiskave Ministrstva za socialno varstvo. Ta preiskava, ki se je začela julija 2021, je preučila obdelavo biometrične prepoznave obrazov s strani ministrstva in uporabo povezanih tehnologij za prepoznavo obrazov kot del postopka registracije za izkaznico javnih storitev. Ta postopek je znan kot »registracija SAFE 2«.
Registracija SAFE 2 je obvezna za vse, ki želijo zaprositi za kartico javnih storitev. Osebe, ki se ne strinjajo s takšno obdelavo, ne morejo dostopati do storitev ministrstva, vključno s socialnimi prejemki. Uvedba registracije SAFE 2 je povzročila, da ministrstvo v velikem obsegu zbira, shranjuje in obdeluje zelo občutljive osebne podatke, vključno z biometričnimi podatki, ki jih sestavljajo podrobne slike obrazov. V skladu z GDPR so biometrični podatki razvrščeni kot podatki posebne vrste, za katere je treba uporabiti višjo zaščito in zaščitne ukrepe. Leta 2021 je ministrstvo hranilo podatke o biometrični prepoznavi obrazov 70 % prebivalstva države.
Tehnologija prepoznave obrazov, ki jo uporablja ministrstvo, vključuje ustvarjanje baze biometričnih podatkov, ki se nanašajo na zelo velik delež prebivalstva. Obseg in vsiljiva narava obdelave zahtevata natančno pravno utemeljitev. V takih okoliščinah je v skladu z ustaljeno evropsko sodno prakso potrebna natančna in predvidljiva zakonodaja za zagotovitev zaščite pred samovoljnimi posegi v pravice posameznikov.
Glede na zgoraj navedeno je ključnega pomena, da registracija SAFE 2 temelji na jasni in natančni pravni podlagi, ki zagotavlja konkretna pravila in zaščitne ukrepe, ki urejajo naravo in posebne ureditve za osnovno obdelavo biometričnih podatkov, ne glede na cilje javne politike in koristi, ki jih želi doseči.
Obseg preiskave je zajemal preučitev in oceno:
ali je imelo ministrstvo zakonito podlago za zbiranje biometričnih podatkov za namene izvajanja prepoznave obrazov kot del registracije v SAFE 2;
ali je imelo ministrstvo zakonito pravno podlago za hrambo biometričnih podatkov, zbranih kot del registracije v SAFE 2;
ali je ministrstvo izpolnjevalo svoje obveznosti glede preglednosti v zvezi s posamezniki, ki so bili v postopku registracije v SAFE 2; in
ali je ministrstvo v okviru registracije SAFE 2 izvedlo ustrezno oceno vpliva na varstvo podatkov.
Nadzorni organ je odločil, da je Ministrstvo:
kršilo člene 5(1)(a), 6(1) in 9(1) GDPR, ker v času preiskave niso opredelil veljavne pravne podlage za zbiranje biometričnih podatkov za registracijo v SAFE 2;
kršilo člen 5(1)(e) GDPR, ker so hranili biometrične podatke, zbrane za registracijo v SAFE 2;
kršilo člen 13(1)(c) in 13(2)(a) GDPR, ker posameznikom niso zagotovili ustrezno preglednih informacij v zvezi z registracijo v SAFE 2; in
kršilo člen 35(7)(b) in (c) GDPR, ker v oceno vpliva na varstvo podatkov, ki so jo izvedli v zvezi z registracijo v SAFE 2, niso vključil vseh dejstev.
Zaradi ugotovljenih kršitev je nadzorni organ Ministrstvu izrekel opomin, upravno globo v skupni višini 550.000 EUR in mu odredil, da v 9 mesecih od te odločitve preneha obdelovati biometrične podatke pri registraciji v SAFE 2, če ne more zagotoviti veljavne pravne podlage.
Vir: DPC
Naslovna slika: RawPixel
